¿Cómo funciona el ataque 'QuantumInsert'?

Navega tus respuestas
1

Recientemente me topé con las descripciones del ataque 'QuantumInsert' (utilizado principalmente por el grupo TAO de NSA). Esta técnica parece ser masivamente utilizada para realizar ataques de hombre en el medio o de hombre en el lado para insertar virus en sistemas informáticos específicamente dirigidos.

Bruce Schneier tiene varias notas (consulte aquí y there y probablemente más ...). También se cita en artículos publicados por Spiegel (en inglés) (consulte aquí ).

Si entiendo bien, esta técnica se puede usar para insertar pequeñas cargas útiles que se insertan en una página HTML que se carga actualmente desde un sitio web legítimo. Probablemente se podría insertar una pequeña aplicación de JavaScript creada para penetrar en el navegador web del objetivo (si lo entendí bien).

Ahora, me gustaría saber más sobre los límites de esta técnica. Leí que solo la NSA podría tener acceso a este tipo de ataques, pero ¿podrían otros gobiernos o grandes empresas dominar esta técnica también?

Y, finalmente, me gustaría saber si hay algunas formas de proteger su acceso a la web de este ataque (a nivel individual).

Editar : solo una buena explicación del 30C3 (diciembre de 2013) en esta hablar .

    
pregunta perror 30.12.2013 - 15:36
fuente

2 respuestas

2

"Y, finalmente, me gustaría saber si hay algunas formas de proteger su acceso a la web de este ataque (a nivel individual)?" La respuesta a esta pregunta es no. Algunos ataques nunca tocarían tu servidor. Aquí hay un simple dibujo ASCII para explicarlo todo. 

Visitor (me) --> my ISP (1) --> another provider (2) --> another provider (3) --> your server (4)

En cualquier punto entre 1-3 habrá muchos enrutadores e interruptores. Cualquier atacante puede modificar los datos ANTES  vuelve a mi Considera lo siguiente. Tienes un sitio web que solo muestra el tiempo, nada más. No hay código HTML, solo se muestra la hora. En CUALQUIER momento en el tiempo, se puede colocar un TAP para modificar los datos: 

Me --> go get the time --> your server
Your server --> here is the time --> network (this is beyond your control now)

¿El ataque? 

Your server --> here is the time --> network --> TAP (modify this page) --> me

¿Ves el dilema? Puedes gritar: "¡pero SSL! Y TLS!" y no hará nada contra un certificado firmado que se inyecte. Puedes gritar: "Voy a MD5 checksum la página!" Pero te estás perdiendo el punto subyacente, solo puedes controlar lo que controlas. La dura realidad es que hay poco que puedas hacer al final del día.

¿De qué se trata? SSL / TLS hará poco cuando se trata de la "web" a través de la navegación pública.

    
respondido por el munkeyoto 30.12.2013 - 19:45
fuente
2

Bueno, la defensa más efectiva probablemente estaría operando bajo condiciones no estándar para complicar el uso de ataques conocidos. Por ejemplo, si ejecutó una VM en su navegador, entonces un compromiso no importaría a menos que también puedan salir de la VM, pero cuando se trata de un atacante que lo está atacando directamente y tiene recursos masivos, probablemente no sea seguro asumir que tampoco tiene una manera de salir de la VM, pero si puede limitar lo que puede conectarse a su sistema (a través de un firewall externo) y puede asegurarse de que solo se permiten los sitios que desea ir para ser visitado, esto teóricamente proporcionaría una protección decente.

Alternativamente, si solo cargó contenido HTTPS, evitaría la inserción de contenido de terceros siempre y cuando verifique el certificado (y el sitio con el que está interactuando no ha permitido que su clave privada se vea comprometida). De lo contrario, es razonable suponer que cualquier parte capaz de controlar un gran número de nodos de enrutamiento en Internet podría modificar su tráfico si así lo desea e inyectar a un hombre en el ataque central.

Realmente se trata de las mejores prácticas generales para la navegación no confiable y el uso de personas típicas en las protecciones medias. No es realmente una nueva amenaza, solo la confirmación de una amenaza que todos conocemos fue una posibilidad durante mucho tiempo.

    
respondido por el AJ Henderson 30.12.2013 - 16:06
fuente

Lea otras preguntas en las etiquetas

¿Por qué P2P necesita reenvío cuando está detrás de NAT? [cerrado] Hablando de HTTP simple a través de un puerto de servidor habilitado para SSL [cerrado]